TRƯỜNG ………………….
KHOA……………………….
Báo cáo tốt nghiệp
Đề tài: Thiết kế mạng an toàn sử
dụng PIX firewall cho trường
Cao đẳng cơ khí luyện kim
1
MỤC LỤC
MỤC LỤC 2
LỜI NÓI ĐẦU 4
LỜI CẢM ƠN 5
LỜI CAM ĐOAN 6
CHƯƠNG 1 7
TÌM HIỂU VỀ AN NINH MẠNG VÀ CHÍNH SÁCH AN NINH 7
1. Sự cần thiết của an ninh mạng 7
2. Nhận diện các nguy cơ tiềm ẩn trong an ninh mạng 8
3. Các mối đe dọa và tấn công mạng máy tính 9
3.1. Unstructured Threats (Các mối đe dọa không có cấu trúc) 9
3.2. Structured Threats (Các mối đe dọa có cấu trúc) 9
3.3. External Threats (Các mối đe dọa bên ngoài) 10
3.4. Internal Threats (Các mối đe dọa bên trong) 10
4. Các cách thức tấn công mạng máy tính 10
4.1 Sự thăm dò - Reconnaisance 10
4.2 Truy nhập - Access 11
4.3. Cấm các dịch vụ (DoS) - Denial of Service 11
4.4. Worms, Virus và Trojan Horses 12
5. Chính sách an ninh 13
1. Lệnh nameif 42
2. Lệnh interface 43
3. Lệnh ip addresss 44
4. Lệnh nat 44
5. Lệnh global 45
6. Lệnh route 46
II. Dịch chuyển địa chỉ trong PIX Firewall 47
1. Tổng quan về NAT 47
1.1. Mô tả NAT 47
1.2. Nat control 48
2. Các kiểu NAT 49
2.1 Dynamic NAT 49
2.2. PAT 50
2.3. Static NAT 50
2.4. Static PAT 50
3. Cấu hình Nat Control 50
4. Sử dụng Dynamic NAT và PAT 50
5. Sử dụng lệnh Static NAT 56
6. Sử dụng Static PAT 57
III. ACCESS LIST 57
1. Tổng quan về access list 57
1.1. Thứ tự các ACE 58
1.2. Access Control Implicit Deny 58
1.3. Địa chỉ IP được sử dụng cho access list khi sử dụng NAT 58
2. Cấu hình access list 60
2.1. Câu lệnh access – list 60
2.2. Câu lệnh access – group 61
CHƯƠNG 4 62
THIẾT KỆ MẠNG AN TOÀN CHO TRƯỜNG 62
CAO ĐẲNG CƠ KHÍ LUYỆN KIM SỬ DỤNG PIX FIREWALL 62
trường Cao đẳng cơ khí luyện kim.
4
LỜI CẢM ƠN
Sau thời gian 5 năm học tập và rèn luyện tại Khoa Công nghệ thông tin và
truyền thông – Đại học Thái Nguyên, đến nay em đã hoàn thành đồ án tốt nghiệp
và kết thúc khóa học. Em xin gửi lời cảm ơn chân thành đến lãnh đạo khoa, toàn
thể các thầy cô giáo đã tận tình giảng dạy trang bị cho chúng em những kiến thức
quý báu làm hành trang cho chúng em sau này.
Đặc biệt em xin gửi lời cảm ơn chân thành đến cô giáo Bùi Thị Mai Hoa
– Bộ môn Kỹ thuật máy tính đã trực tiếp hướng dẫn, giúp đỡ em có thể hoàn
thành đồ án này. Các ơn sự đóng góp ý kiến của các thầy cô, bạn bè để em có thể
hoàn thành đồ án này.
Thái Nguyên, tháng 06 năm 2009.
Sinh viên
Trần Giáo
5
LỜI CAM ĐOAN
Đồ án tốt nghiệp này đã hoàn thành đúng thời gian quy định và đáp ứng
được yêu cầu đề ra nhờ sự cố gắng nghiên cứu, học tập của bản thân và dưới sự
hướng dẫn trực tiếp của Th.s Bùi Thị Mai Hoa. Em đã tham khảo một số tài liệu
nêu trong phần “ Tài liệu tham khảo ” và không hề sao chép nội dung từ bất kỳ
đồ án nào khác.
Mọi sao chép không hợp lệ, vi phạm quy chế đào tạo, hay gian trá, em xin
chịu hoàn toàn trách nhiệm trước hội đồng
6
CHƯƠNG 1
TÌM HIỂU VỀ AN NINH MẠNG VÀ CHÍNH SÁCH AN NINH
1. Sự cần thiết của an ninh mạng
An ninh mạng là vấn đề cần thiết bởi vì Internet là một mạng của các
mạng có mối liên hệ với nhau không có ranh giới. Vì lý do này mà mạng của các tổ
thành phần của mạng, đánh giá tầm quan trọng của mỗi thành phần và sau đó áp
dụng mức độ bảo mật phù hợp.
+ Asset Identification (nhận diện tài sản trong mạng)
Trước khi ta tiến hành bảo mật cho mạng, cần phải xác định các thành phần
có trong mạng. Mỗi cơ quan hay tổ chức nên tiến hành kiểm kê tài sản tồn tại trong
mạng của mình.Các tài sản đó bao gồm cả các thiết bị mạng và các điểm cuối
( endpoint) như host, server.
+ Vulnerability Assenssment ( đánh giá các lỗ hổng hệ thống )
Các thành phần của mạng máy tính luôn luôn đứng trước nguy cơ bị tấn công
từ những kẻ xấu. Nguyên nhân có thể do sự yếu kém về công nghệ, về các cấu hình
hoặc do chính sách an ninh chưa thỏa đáng. Tuy nhiên, có thể hạn chế hay khống
chế các cuộc tấn công này bằng nhiều phương thức khác nhau như: sử dụng phần
mềm, cấu hình lại thiết bị mạng, hoặc là triển khai các biện pháp đối phó (Firewall,
phần mềm Anti-virus ).
+ Threat Identification ( nhận diện các mối đe dọa )
Một lời đe dọa là một sự kiện mang lại lợi thế cho các cuộc tấn công mạng
máy tính và là nguyên nhân của các tác động không tốt trên mạng. Vì vậy, việc xác
định các mối đe dọa tiềm ẩn trong mạng là rất quan trọng, các cuộc tấn công liên
quan cần được lưu ý để hạn chế, giảm bớt mức độ nguy hiểm.
8
3. Các mối đe dọa và tấn công mạng máy tính
Có 4 mối đe dọa chính đối với an ninh mạng
Hình 1. Các mối đe dọa đối với an ninh mạng
3.1. Unstructured Threats (Các mối đe dọa không có cấu trúc)
Mối đe dọa không có cấu trúc thông thường là những cá nhân thiếu kinh
nghiệm sử dụng các công cụ đơn giản, sẵn có trên Internet. Một số người thuộc
dạng này có động cơ là mục đích phá hoại, nhưng phần lớn có động cơ là trổ tài trí
óc và rất tầm thường. Phần lớn họ không phải là những người tài giỏi hoặc là những
attacker có kinh nghiệm, nhưng họ có những động cơ thúc đẩy, mà những động cơ
đó đều quan trọng.
host đích.
4.2 Truy nhập - Access
Truy cập là một hình thức vượt qua giới hạn để xử lý dữ liệu trái phép, truy
cập hệ thống hoặc tiến vào chế độ đặc quyền. Truy tìm dữ liệu trái phép thông
thường là việc đọc, ghi, sao chép hoặc gỡ bỏ các files mà nó không thể được sử
dụng bởi những kẻ thâm nhập. Truy cập hệ thống là khả năng của kẻ thâm nhập
dành quyền truy cập vào một máy mà nó không được phép truy cập (ví dụ như kẻ
thâm nhập không có tài khoản hoặc mật khẩu). Nhập hoặc truy cập vào hệ thống mà
nó không có quyên truy cập thông thường bao gồm việc chạy các hack, các đoạn
kịch bản hoặc các công cụ để khai thác các lỗ hổng của hệ thống hoặc các ứng
dụng.
Một dạng khác của tấn công theo kiểu truy cập là tiến tới chế độ đặc quyền.
Việc này được thực hiện bởi những người sử dụng hợp pháp với quyền truy cập
thấp hoặc đối với những kẻ thâm nhập có quyền truy cập thấp. Mục đích là để thu
thập thông tin hoặc thực thi các thủ tục mà nó không được phép ở cấp độ truy cập
hiện tại.
Trong một vài trường hợp kẻ thâm nhập chỉ muốn dành quyền truy cập mà
không muốn lấy cắp thông tin – đặc biệt khi động cơ là sự tranh tài về trí tuệ, tò mò
hoặc là do không biết gì.
4.3. Cấm các dịch vụ (DoS) - Denial of Service
Đây là kiểu tấn công làm tê liệt hệ thống, làm mất khả năng cung cấp dịch vụ
(Denial of Service - DoS) không cho hệ thống thực hiện được các chức năng mà nó
được thiết kế. Kiểu tấn công này rất khó ngăn chặn bởi chính những phương tiện
dùng để tổ chức tấn công lại chính là những phương tiện dùng để làm việc và truy
11
cập thông tin trên mạng. Một thí dụ về trường hợp có thể xảy ra là một người trên
mạng sử dụng chương trình đẩy ra những gói tin yêu cầu về một trạm nào đó. Khi
nhận được gói tin, trạm luôn luôn phải xử lý và tiếp tục thu các gói tin đến sau cho
đến khi bộ đệm đầy, dẫn tới tình trạng những nhu cầu cung cấp dịch vụ của các máy
khác đến trạm không được phục vụ.
virus này có thể làm được nhiều nhiệm vụ khác nữa, không chỉ đơn thuần là phá
hủy tài nguyên mạng, chúng còn được sử dụng để phá hủy những thông tin đang
truyền trên mạng hoặc xóa ổ cứng. Vì vậy trong tương lai sẽ có một mối đe dọa rất
lớn ảnh hưởng trực tiếp tới cơ sở hạ tầng của hệ thống mạng.
5. Chính sách an ninh
Những nguy cơ đe dọa hệ thống mạng không thể bị loại trừ hay ngăn chặn
hoàn toàn. Tuy nhiên, việc đánh giá và quản lý ảnh hưởng của những nguy cơ trên
sẽ góp phần giảm thiểu số lượng cuộc tấn công và những thiệt hại kèm theo chúng.
Mức độ rủi ro chấp nhận được phụ thuộc vào khả năng của từng doanh nghiệp.
Một chính sách an ninh là thành phần quan trọng trong việc quyết định nguy
cơ này được quản lý như thế nào. Chính sách an ninh được hiểu là những phát biểu
hình thức của những quy tắc mà theo đó những người có quyền truy nhập vào các
công nghệ, tài sản, và thông tin của một tổ chức nào đó phải tuân theo.
5.1 The Security Wheel (bánh xe an ninh)
13
An ninh mạng cần phải là một tiến trình liên tục được xây dựng dựa trên các
chính sách an ninh. Một chính sách an ninh liên tục mang lại hiệu quả lớn nhất bởi
vì nó xúc tiến quá trình tái áp dụng và tái kiểm tra các cập nhật bảo mật dựa trên cơ
sở liên tục. Tiến trình an ninh liên tục này tiêu biểu cho Security Wheel.
Để bắt đầu tiến trình liên tục này cần phải tạo một chính sách an ninh mà nó
cho phép bảo mật các ứng dụng. Một chính sách an ninh cần phải thực hiện những
nhiệm vụ sau:
Nhận dạng mục đích bảo mật của tổ chức
Tài liệu về tài nguyên cần bảo vệ.
Nhận dạng cơ sở hạ tầng mạng với sơ đồ hiện tại và một bản tóm tắt.
Để tạo hoặc thực thi một chính sách an ninh có hiệu quả, cần phải xác định
cái mà ta muốn bảo vệ và bảo vệ nó như thế nào. Cần phải có hiểu biết vể các điểm
yếu hệ thống mạng và cách mà người ta có thể khai thác nó. Cũng cần phải hiểu về
các chức năng thông thường của hệ thống vì thế mà chúng ta phải biết là chúng ta
cần cái gì và nó cũng giống với cách mà các thiết bị thông thường được sử dụng.
Tường lửa: Lọc các lưu lượng mạng chỉ cho phép các lưu lượng và dịch vụ
hợp pháp truyền qua
Vá lỗi: Áp dụng việc sửa chữa hoặc xử lý để dừng quá trình khai thác các lỗ
hổng được phát hiện. Công việc này bao gồm việc tắt các dịch vụ không cần
thiết trên mỗi hệ thống, chỉ cho vài dịch vụ được phép chạy, gây khó khăn
cho việc truy cập của attacker.
15
Ngoài ra chúng ta cần phải thực thi các giải pháp an ninh mặt vật lý để ngăn cản
việc truy cập trái phép mặt vật lý đến hệ thống mạng
5.1.2. Theo dõi sự an toàn
Viểm theo dõi hệ thống mạng đối với sự xâm nhập trái phép và các cuộc tấn
công chống lại chính sách an ninh của công ty. Các cuộc tấn công này có thể xảy ra
trong vành đai an ninh của hệ thống mạng từ những người lao động có âm mưu
hoặc từ bên ngoài hệ thống mạng. Việc kiểm tra hệ thống mạng cũng cần thực hiện
với các thiết bị phát hiện sự xâm nhập thời gian thực như là Cisco Secure Intrusion
Detection System (CSIDS). Những thiết bị này trợ giúp bạn trong việc phát hiện ra
các phần trái phép và nó cũng có vai trò như là một hệ thống kiểm tra – cân bằng
(check – balance system) để đảm bảo rằng các thiết bị trong bước 1 của Security
Wheel được cấu hình và làm việc đúng đắn.
5.1.3. Kiểm tra
16
Việc kiểm tra là cần thiết. Bạn có thể có một hệ thống an ninh mạng tinh vi
nhất, nhưng nếu nó không làm việc thì hệ thống mạng của bạn có thể bị tấn công.
Điều này giải thích tại sao bạn cần phải kiểm tra, chạy thử các thiết bị trong bước 1
và bước 2 để đảm bảo chúng thực hiện đúng chức năng. Cisco Secure Scanner (thiết
bị quét bảo mật của Cisco) được thiết kế để đánh giá độ bảo mật của hệ thống mạng
5.1.4. Hoàn thiện
Pha hoàn thiện của Security Wheel bao gồm việc phân tích dữ liệu được tổng
hợp từ hai pha kiểm tra và chạy thử nghiệm. Kỹ thuật phát triển và hoàn thiện nó
phục vụ cho chính sách an ninh của chúng ta và nó bảo mật cho pha trong bước 1.
Một cách hiệu quả để giảm nhẹ ảnh hưởng của “sâu máy tính” và những biến
thể của nó là sửa chữa tất cả các hệ thống đã bị xâm phạm. Đây là điều rất khó đối
với những hệ thống người dùng không kiểm soát được và càng khó khăn hơn nếu
những hệ thống này là kết nối từ xa tới mạng thông qua mạng riêng ảo (VPN) hay
server truy nhập từ xa (RAS). Việc điều hành nhiều hệ thống đòi hỏi tạo ra một ảnh
phần mềm chuẩn mà được triển khai trên những hệ thống mới hay những hệ thống
đã được nâng cấp. Những ảnh này có thể không lưu trữ sự sửa chữa mới nhất và quá
trình liên tục làm lại ảnh sẽ làm tốn thời gian quản trị.
Dò tìm và ngăn chặn xâm nhập
Dò tìm xâm nhập là khả năng phát hiện ra các cuộc tấn công vào một mạng,
gửi những ghi chép tới nơi quản lý và cung cấp cơ chế phòng ngừa sau:
Ngăn chặn xâm nhập là khả năng ngăn cản các cuộc tấn công vào một mạng
và cung cấp những cơ chế phòng ngừa sau:
• Dò tìm: xác định các cuộc tấn công nguy hiểm trên mạng và tài nguyên trên
máy
• Ngăn chặn: dừng lại các cuộc tấn công bị phát hiện
• Phản ứng: phòng ngừa hệ thống trước các cuộc tấn công trong tương lai.
5.2.2 Quản lý máy tính cá nhân (PC)
Kiểm kê máy và bảo trì
Những người có trách nhiệm nên duy trì các cuộc kiểm kê chi tiết tất cả các
máy tính trên mạng như các trạm làm việc, server, laptop…Có thể kiểm kê số serial
của máy; kiểu phần cứng, phần mềm được cài đặt, tên các cá nhân được nhận phản
hồi từ máy. Khi các thành phần phần cứng, phần mềm hoặc các thiết bị lưu trữ được
thay thế thì quá trình kiểm kê cũng phải cập nhật những thay đổi. Một việc làm cần
thiết nữa là đào tạo những người làm trong tổ chức để họ có thể giữ an toàn cho
máy.
Cập nhật phần mềm kháng virus
19
Khi virus mới hoặc những ứng dụng mới dạng chương trình “những chú
ngựa thành Troa” được phát hiện, doanh nghiệp cần cập nhật phần mềm kháng
VPN là các IP VPN, được xem là các VPN lớp 3.
Về căn bản, có 3 dạng khác nhau của VPN mà doanh nghiệp sử dụng
• Remote-access VPNs
• Site-to-site extranet and intranet VPNs
• Campus VPNs
Hình 2.6. Remote-access VPNs
Hình 2.7. Site-to-site extranet and intranet VPNs
Sự tin cậy và định danh
Định danh được xem là sự nhận dạng đúng đắn, chính xác các user, các máy
tính, các ứng dụng, các dịch vụ và tài nguyên. Các công nghệ chuẩn này cho phép
nhận ra các giao thức chứng thực như Remote Access Dial-In User Service
21
(RADIUS), Terminal Access Controller Access Control System Plus (TACACS+),
Kerberos và công cụ OTP (one time password). Một số công nghệ mới như chứng
thực số, thẻ thông minh…ngày càng đóng vai trò quan trọng trong giải pháp định
danh.
5.3.2. Quản lý an ninh mạng
Mục đích của quản lý an ninh mạng là điều khiển việc truy nhập tài nguyên
mạng. Nó ngăn chặn sự phá hoại mạng máy tính và những người dùng trái phép
truy nhập những thông tin nhạy cảm. Ví dụ, một hệ thống quản lý an ninh có thể
theo dõi việc đăng ký vào tài nguyên mạng và từ chối những truy nhập có mã truy
nhập không thích hợp.
Hệ thống quản lý an ninh mạng làm việc bằng cách phân chia tài nguyên
mạng thành những khu vực được phép và khu vực không được phép.
Hệ thống này thực thi một số chức năng như sau:
• Định nghĩa tài nguyên mạng “nhạy cảm”.
• Quyết định sơ đồ giữa các tài nguyên đó với các thiết đặt của người dùng.
• Theo dõi các điểm truy cập tới những tài nguyên đó và khóa những truy nhập
không hợp lệ.
Cấu trúc điển hình của một hệ thống quản lý an ninh gồm một trạm quản lý
Khi áp dụng thuật ngữ tường lửa cho mạng máy tính, một tường lửa là một hệ thống
hoặc một nhóm hệ thống yêu cầu một chính sách điều khiển việc truy cập giữa hai
hoặc nhiều hơn hai mạng.
2. Các kỹ thuật tường lửa
24
Tường lửa hoạt động dựa trên một trong ba kỹ thuật sau:
Packet filtering – Giới hạn thông tin truyền sang một mạng dựa trên thông tin
header của gói tin.
Proxy Server – Yêu cầu sự kết nối chuyển tiếp giữa một client bên trong của
tường lửa và mạng Internet
Stateful packet filtering – Kết hợp tốt nhất hai kỹ thuật packet filtering và
proxy server
2.1. Kỹ thuật packet filtering
Một tường lửa có thể sử dụng packet filtering để giới hạn thông tin đi vào một
mạng hoặc thông tin di chuyển từ một đoạn mạng này sang một đoạn mạng khác.
Packet filtering sử dụng danh sách điều khiển truy cập (ACLs), nó cho phép một
tường lửa xác nhận hay phủ nhận việc truy cập dựa trên kiểu của gói tin và các biến
khác.
25
Copyright: Tài liệu đại học ©